防火墙F10000最新版本将NAT日志发送至日志主机
- 0关注
- 0收藏,195浏览
问题描述:
如何防火墙F10000最新版本将NAT日志发送至日志主机,并在华三日志审计上看到这条日志记录
- 2025-08-27提问
- 举报
-
(0)
最佳答案
以下是最新版本Comware V7系统下的典型配置流程:
第一部分:在H3C F10000防火墙上进行配置
核心思路是:启用信息中心 -> 配置日志主机 -> 在NAT策略上启用日志记录。
步骤 1: 开启信息中心(必选)
信息中心是设备发送所有日志的总开关。默认可能是开启的,但建议确认一下。
system-view
info-center enable步骤 2: 配置日志主机(日志审计服务器)
这里需要指定日志审计系统的IP地址、使用的协议(通常为UDP)、端口号(默认514)和日志输出的格式。
system-view
# 配置日志主机的IP地址、协议和端口。
# 假设您的日志审计系统IP是 192.168.1.100
info-center loghost 192.168.1.100 transport udp port 514
# (强烈建议)设置发送到日志主机的日志源格式为“unicom”,这是一种标准格式,兼容性好。
info-center source nat loghost level informational format unicom- •
loghost: 指定日志主机模式。 - •
transport udp port 514: 使用UDP协议,端口514是syslog标准端口。 - •
source nat: 指定NAT模块作为日志源。 - •
level informational: 设置日志级别为“信息”级别,这会记录所有NAT会话建立和删除的信息。 - •
format unicom: 使用一种标准的、易于解析的日志格式。
步骤 3: 在NAT策略上启用日志功能
这是最关键的一步,需要在您现有的NAT策略(如nat outbound或nat server)上加上logging参数。
- •
对于出向动态NAT(例如,内网用户上网):
# 进入接口视图或策略视图 interface GigabitEthernet1/0/1 # 在原有的nat outbound命令后追加logging nat outbound 3000 address-group 1 logging # 或者如果之前没有logging,可能需要先undo掉原命令再重新绑定 # undo nat outbound 3000 # nat outbound 3000 address-group 1 logging - •
对于静态NAT(例如,发布内网服务器):
# 进入接口视图 interface GigabitEthernet1/0/0 # 在原有的nat server命令后追加logging nat server protocol tcp global 202.96.1.100 80 inside 192.168.1.10 80 logging
关键点: logging关键字是让防火墙记录NAT会话生命周期(新建和删除)日志的直接指令。
步骤 4: (可选)调整信息中心参数
如果网络日志量很大,可以调整日志队列缓冲区和输出速率,防止丢包。
info-center loghost source GigabitEthernet1/0/0 # 指定发送日志的源接口
info-center max-logfile-size 2048 # 设置日志文件大小
info-center loghost rate-limit 1024 # 限制发送速率(单位:条/秒)第二部分:在H3C日志审计系统上进行检查
防火墙配置完成后,产生NAT流量时,日志就会发出。您需要在日志审计系统上确保能正确接收和解析。
步骤 1: 确认设备管理
- 1.
登录日志审计系统的Web管理界面。
- 2.
进入 “设备管理” 或 “日志源管理” 菜单。
- 3.
确认已添加了您的F10000防火墙作为日志源设备。填写其IP地址,并选择协议为
UDP,端口为514(与防火墙配置一致)。
步骤 2: 查看实时日志
- 1.
进入 “日志审计” -> “实时日志” 或 “原始日志” 查看界面。
- 2.
在过滤条件中,选择或填写 “日志源IP” 为您的F10000防火墙的地址。
- 3.
在搜索框里,您可以输入关键词来快速定位NAT日志,例如:
- •
NAT/SESSION/CREATE: 搜索NAT会话创建的日志。 - •
NAT/SESSION/DELETE: 搜索NAT会话删除的日志。 - •
具体的私网IP地址(如
192.168.1.50)或公网IP地址。
- •
步骤 3: 解读日志内容
一条典型的NAT创建日志在“unicom”格式下可能看起来像这样(字段顺序可能因版本略有不同):
<186>1 2024-05-27T10:30:25+08:00 10.1.1.1 NAT - - - [SYSLOG][NAT][SESSION][CREATE]; From inside; SrcIP: 192.168.1.50(55000); DstIP: 202.96.1.1(80); Proto: TCP; SrcIPAfterNAT: 202.96.1.200(1024).关键信息解析:
- •
[NAT][SESSION][CREATE]: 表示这是一条NAT会话创建日志。 - •
From inside: 表示流量从inside区域而来。 - •
SrcIP: 192.168.1.50(55000): 转换前的内网源IP和端口。 - •
DstIP: 202.96.1.1(80): 目的公网IP和端口。 - •
SrcIPAfterNAT: 202.96.1.200(1024): NAT转换后使用的公网IP和端口。
排错与总结
- 1.
防火墙无日志发出:
- •
检查
info-center enable是否已配置。 - •
检查
info-center loghost配置的IP和端口是否正确。 - •
检查防火墙与日志审计系统之间的网络连通性(用
ping和telnet 日志主机IP 514测试)。 - •
检查防火墙的源接口路由是否可达。
- •
- 2.
审计系统收不到日志:
- •
检查审计系统上的日志源设备地址是否正确添加。
- •
检查审计系统是否监听了UDP 514端口。
- •
- 3.
看不到NAT日志:
- •
确认在NAT策略上正确配置了
logging。 - •
在防火墙上使用
display logbuffer命令查看本地缓冲区的日志,先确认防火墙本身是否生成了NAT日志。如果这里都没有,说明NAT策略或日志配置有问题。
- •
按照以上步骤操作,您应该能在H3C日志审计系统上成功看到来自F10000防火墙的详细NAT会话日志记录。
- 2025-08-27回答
- 评论(0)
- 举报
-
(0)
参考:
NAT Flow日志主机组典型配置
使用版本
本举例是在F1090的R8660P33版本上进行配置和验证的。
组网需求
如下图所示,通过在设备Device上配置Flow日志主机组功能,实现仅在日志主机Log Host1上对用户User的上网活动进行监控。
图-1 Flow日志主机组配置组网图
/images/m230712x1z34/x_Img_x_png_2.png)
配置步骤
配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface loopback 0
[Device-LoopBack0] ip address 3.3.3.3 255.255.255.0
[Device-LoopBack0] quit
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 169.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到Internet的下一跳IP地址为4.4.4.1,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 0.0.0.0 0 4.4.4.1
配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/4
[Device-security-zone-Untrust] quit
配置安全策略
# 配置名称为loglocalout的安全策略规则,使Device可以向日志主机发送日志信息报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name loglocalout
[Device-security-policy-ip-1-loglocalout] source-zone local
[Device-security-policy-ip-1-loglocalout] destination-zone dmz
[Device-security-policy-ip-1-loglocalout] source-ip-host 3.3.3.3
[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.1.1.2
[Device-security-policy-ip-1-loglocalout] destination-ip-host 2.2.2.2
[Device-security-policy-ip-1-loglocalout] action pass
[Device-security-policy-ip-1-loglocalout] quit
# 配置名称为trust-untrust的安全策略规则,使用户User可以正常访问Internet,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-3-trust-untrust] source-zone trust
[Device-security-policy-ip-3-trust-untrust] destination-zone untrust
[Device-security-policy-ip-3-trust-untrust] source-ip-subnet 169.1.1.0 24
[Device-security-policy-ip-3-trust-untrust] action pass
[Device-security-policy-ip-3-trust-untrust] quit
[Device-security-policy-ip] quit
配置Flow日志
# 开启NAT新建、删除会话和活跃流的日志功能,具体配置步骤如下。
[Device] nat log enable
[Device] nat log flow-begin
[Device] nat log flow-end
[Device] nat log flow-active 10
# 配置Flow日志输出到日志主机,将3.3.3.3配置为承载Flow日志的UDP报文的源IP地址,具体配置步骤如下。
[Device] userlog flow export host 1.1.1.2 port 2000
[Device] userlog flow export host 2.2.2.2 port 2000
[Device] userlog flow export source-ip 3.3.3.3
# 配置用于匹配日志信息的ACL,匹配源IP为169.1.1.2的报文,具体配置步骤如下。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 169.1.1.2 0.0.0.0
[Device-acl-ipv4-basic-2000] quit
# 创建IPv4 Flow日志主机组并添加日志主机,具体配置步骤如下。
[Device] userlog host-group test acl number 2000
[Device-userlog-host-group-test] userlog host-group host flow 1.1.1.2
[Device-userlog-host-group-test] quit
验证配置结果
# 查看Flow日志主机组的配置信息。
[Device] display userlog host-group test
Userlog host-group test:
ACL number: 2000
Flow log host numbers: 1
Log host 1:
Host/port: 1.1.1.2/2000
# 用户User上网之后,查看Flow日志的统计信息。
[Device] display userlog export
Flow:
Export flow log as UDP Packet.
Version: 1.0
Source ipv4 address: 3.3.3.3
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 2
Log host 1:
Host/Port: 1.1.1.2/2000
Total logs/UDP packets exported: 13/13
Log host 2:
Host/Port: 2.2.2.2/2000
Total logs/UDP packets exported: 0/0
- 2025-08-27回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论